| Category | Challenge Name | Difficulty |
|---|---|---|
| Forensics | weirdtraffic | Easy |
| Web | iRobots | Easy |
| Web | Tommy’s Artventures | Easy |
weirdtraffic
Hints
- Đọc wireshark
Solution
Sau khi tải file pcapng về mình mở lên bằng wireshark và phát hiện một protocol chứa flag
Flag : CYBORG{hping3-is-a-cool-tool}
iRobots
Hints
- Tôi yêu Burpsuite Pro
Solution
Giao diện website :
Mình thử mở devtool để xem và thấy đoạn script sau
Mình gõ thử mật khẩu là as1m0v và đến trang này
Sau một hồi suy nghĩ thì hình như nó đang đề cập đến một page ẩn nên mình xài Burpsuite để scan page
Sau khi crawl thì mình nhận được kết quả sau
Thử truy cập vào file /hidden/flag.txt và mình đã có flag
Flag : CYBORG{robots_txt_is_fun}
Tommy’s Artventures
Hints
- Bài này mình sẽ vào trang admin bằng flask session
Solution
Đề bài cho ta một file secret_key.txt với nội dung là 4a6282bf78c344a089a2dc5d2ca93ae6
Giao diện website chỉ có một nút login :
Mình sẽ thử đăng ký và đăng nhập một tài khoản ngẫu nhiên
Sau khi đăng nhập mình thấy có một button curate và phải là admin mới xem được
Mình thử bật devtool và thấy trang web chứa session
Mình thử tìm một vài tool để encode và decode session này và mình sẽ sử dụng tool này
Thực hiện git clone tool về và decode đoạn session trên mình biết được session giữ thông tin json dạng {“user” : username}
Sau đó mình encode một đoạn session khác với “user” là “admin” và secret_key có trong file của đề
Thay đổi session của web bằng đoạn session trên sau đó refresh trang, ta sẽ vào được user admin và thu được flag
Flag : CYBORG{oce4n5_auth3N71ca7i0N}
